Nachrichten > "In der Theorie kann sehr viel passieren."

"In der Theorie kann sehr viel passieren."

teaser"In der Theorie kann sehr viel passieren."

Christian Funk, der Leiter des deutschen Analyse- und Forschungsteams von Kaspersky, im exklusiven Interview mit itsecurity-xpert.com über kritische Infrastrukturen, Verschlüsselungstrojaner und Notfallpläne.

 

Bereits 2016 Jahr wurden Angriffe auf kritische Infrastrukturen heiß diskutiert. 2017 sind dann etliche Ereignisse passiert, die darauf schließen lassen, dass die Botschaft noch nicht angekommen ist. Gibt es konkrete Punkte, bei denen Politik und Wirtschaft im letzten Jahr reagiert haben? Verbesserungen, die angestoßen wurden?

Zu nennen wäre hier zum Beispiel die Meldepflicht bei Angriffen auf kritische Infrastrukturen. Dadurch sind Möglichkeiten geschaffen worden, Einblicke in die Realität dieser Angriffe zu gewähren. Dementsprechend wurde hier ein Sammelbecken für Know-How über Threat Intelligence geschaffen, damit wir durch die bereits geschehenen Angriffe voneinander lernen können.

 

Die Analyse von Cyberangriffen ist ja genau Ihr Spezialgebiet. Wie genau darf man sich diesen Prozess vorstellen?

Da gibt es natürlich keine Blaupausen. Ich nehme aber gerne einfach mal ein Beispiel heraus: Shadowpet ist eine Schadsoftware, die in eigentlich legitimer Serversoftware versteckt wurde. In diesem Fall sind wir durch einen Vorfall in einem Institut des Finanzbereichs aufmerksam geworden. Dort hatte man verdächtigen DNS-Traffic festgestellt. Das heißt, bei der Analyse geht man inzwischen oft über die Netzwerkebene heran: Man fragt sich, wo der Traffic herkommt, wo er hingeht. Ist die Ziel-Infrastruktur bereits bekannt? Wer nutzt sie? Und was verbirgt sich dahinter? Und zu was ist die Software, die den Traffic erzeugt, noch im Stande? Das sind die Einstiegsfragen, die man sich vor der Analyse stellt. Und dann beginnt erst die eigentliche Arbeit.

 

In den Medien sind diese Angriffe auf kritische Infrastrukturen inzwischen sehr präsent. Fernsehdokumentationen zeichnen ein mitunter reißerisches Bild. Ist der Supergau, der den Zusammenbruch des gesamten Systems beinhaltet , realistisch – oder auch nur möglich?

In der Theorie kann natürlich sehr viel passieren. Die Frage ist aber weniger, was machbar ist, sondern was die Absicht hinter einer solchen Attacke wäre. Wer würde wollen, dass so etwas passiert? Und warum? Das ist bei der gegenwärtigen Weltsituation wahrscheinlich wesentlich interessanter.

 

Gibt es denn Notfallpläne für den Fall der Fälle? Und wenn ja, wie ausgereift sind sie? Was passiert, wenn beispielsweise irgendwo das Stromnetz zusammenbricht oder ein Krankenhaus nicht mehr richtig arbeiten kann auf Grund eines Cyberangriffs? Letzteres ist ja bereits passiert…

Wir haben nur Einblick auf Basis einzelner Unternehmen oder Krankenhäuser. Aber hier gibt es natürlich einige interessante Geschichten zu erzählen. Durch die Ransomware-Angriffswellen der letzten drei Jahre wurden beispielsweise Krankenhäuser mit einem Mal in die 80er Jahre zurückgeschleudert und die Mitarbeiter mussten wieder mit Notizblock herumlaufen und erst einmal herausfinden, was der Status ihrer jeweiligen Patienten war. Dementsprechend wurde da natürlich sehr viel improvisiert. Teilweise gab es Notfallpläne, teilweise nur Ansätze mit denen gearbeitet werden konnte.

 

Unternehmen, Krankenhäuser und Behörden sind jetzt gefordert, sich vorzubereiten und einen Plan B in der Schublade zu haben. Welche konkreten Aspekte gehören Ihrer Meinung nach unbedingt in einen Notfallplan?

Das A und O ist erst einmal zu begreifen, welche Prozesse es überhaupt gibt. Welche sind besonders kritisch, welche sind weniger kritisch? Es müssen also Prioritäten vergeben werden, damit man eine Grundstruktur hat, auf deren Basis man arbeiten kann. Von dort aus kann man dann versuchen zu analysieren, was im nächsten Schritt passieren muss. Das heißt: Erkennen von Prozessen, Priorisieren und Erstellen eines Plan B für die notwendigsten Arbeitsschritte.

 

Dann gibt es natürlich die Frage nach der Prävention vor Ransomware. Haben Sie aus der Praxis Tipps, mit denen man die Gefahr einer Ransomware-Infektion zumindest minimieren kann?

Zum einen ist natürlich der Endpoint-Schutz wichtig. Die verwendete Security-Lösung sollte Behaviour-Based arbeiten. Sie sollte routinemäßig erkennen, sobald eine Verschlüsselung angestoßen wird und dann überprüfen, ob eine Verschlüsselung legitim ist oder einen schadhaften Hintergrund hat. Es gibt ja auch gutartige Verschlüsselungen, wie beispielsweise RAR-Archive, die sinnvoll und notwendig sind und die natürlich nicht geblockt werden sollen. Zweitens sind Backups elementar. Außerdem muss man natürlich über vernünftiges Gerätemanagement nachdenken.

 

Wenn also der Ernstfall eintritt und ein ganzer Betrieb durch Ransomware lahmgelegt wird: Was tun? Nicht zahlen?

Ganz klar: Nicht zahlen. Tatsache ist, dass man sich nicht sicher sein kann, ob die Erpresser Wort halten und die Daten wieder freigeben. Wir kennen auch Fälle, in denen zwar ein funktionsfähiges Hilfstool zur Verfügung gestellt wurde, über das die Angreifer aber wieder zurückgekommen sind. Wenn man nicht zahlt, sollte man auf keinen Fall alte Speicherplatten formatieren, neu aufsetzen und weiterverwenden. Lieber neue Speichermedien kaufen und die verschlüsselten Platten archivieren. Denn auch wenn es gerade kein Entschlüsselungstool gibt heißt das ja nicht, dass es nicht in naher Zukunft eines geben könnte. Hier verweise ich gern nochmal auf nomoreransom.org. Verschiedene Hersteller haben hier Tools angeboten, die bei der Entschlüsselung helfen können.

 

Im Darknet gibt es offenbar bereits Ransomware-Kits, mit denen auch Amateure relativ einfach eigene Schadsoftware zusammenbauen können. Ist das ein großes Phänomen? Oder steckt doch meistens eher organisierte Kriminalität mit professionellen Strukturen dahinter?

Ich würde Ransomware-as-a-Service keinesfalls auf die leichte Schulter nehmen. Nur weil man im Prinzip Einsteiger damit rekrutieren möchte, heißt das nicht, dass das weniger professionell ist. Der Schadcode kommt immer noch meist aus professioneller Hand. Entsprechend gibt es auch Bezahlstrukturen, die man durchaus als professionell bezeichnen kann. Das funktioniert dann in unterschiedlichen Kategorien: Wenn man als Verteiler von Ransomware zum Beispiel einen bestimmten Wochenumsatz an Bitcoins hat, kommt man in eine Kategorie und muss 70% des Umsatzes an die Malware-Autoren abgeben. Die bekommen direkten Zugang auf die Verteiler-Wallet und können sich den Anteil nehmen. Wenn man den Umsatz nicht erreicht, bekommen die Urheber der Ransomware nur 50% oder 30%. So wird das Geschäft gerade für Anfänger lukrativer gestaltet.

 

Interessant ist ja, dass das Ransomware-Modell ein wirtschaftliches ist. Wenn man sich jetzt aber beispielsweise WannaCry ansieht, fällt auf, dass ein vergleichsweise geringer Betrag erpresst wurde. Spielen dann im Hintergrund womöglich doch andere Motivationen eine Rolle?

Das ist auch unsere Vermutung. Womöglich hat es sich bei WannaCry eher um eine Viper gehandelt. Die Software sah zwar aus wie eine Ransomware, wirkte in der logischen Struktur aber eher wie eine Viper: Eine Schadsoftware, deren Aufgabe es ist, Daten zu vernichten – unter dem Deckmantel eines Verschlüsselungstrojaners.

 

Aus Ihrer Arbeit haben Sie ja einen guten Einblick in besonders relevante IT-Security-Cases. Gibt es neue Formen von Cyberkriminalität, die die Öffentlichkeit noch gar nicht auf dem Schirm hat? Welche Attacken werden in der nächsten Zukunft auf uns zukommen?

Ich arbeite nun seit 10 Jahren in dieser Branche. In dieser Zeit haben sich die Grundformen der Cyberbedrohungen kaum verändert. Aber die Qualität der Codes ist natürlich besser geworden und die Schlagkraft der Angriffe ist gestiegen. Auch die Social-Engineering-Komponente hat zugenommen. Und zuletzt muss man feststellen, dass extrem hochkarätige Schadcodes zunehmend zugänglich gemacht werden, die Angreifer wiederum für ihre eigenen Zwecke nutzen. Das haben wir bei diversen Angriffen wie WannaCry gesehen.

 

Herzlichen Dank für dieses aufschlussreiche Interview, Herr Funk!

Datum: 12 February 2018, 15:02 pm
Weiterlesen:
Die Ransomware-Bedrohung: So erkennen Sie einen Angriff, bevor es zu spät ist
"In der Theorie kann sehr viel passieren."
Kryptomining-Malware verdrängt Ransomware
Ransomwareattacken schlagen teuer zu Buche
IT Sicherheit 2018: Das waren die 3 großen Sorgen der IT-Verantwortlichen
Hacker haben es auf die Kronjuwelen abgesehen
Die Panzerknacker des 21. Jahrhunderts: Neue Allianzen gegen Banking-Trojaner
Ransomware und Co: Mobile Security bleibt eine Herausforderung
business-iq.net
Nachrichten
Themen
Whitepaper
Über uns
B2B Media Group
Rechtsinformation
Datenschutz
Herunterladebedingungen
Werbung
Kontakt
E-Mail
Pressekontakt
Redaktion
Beitrag leisten
© 2024 B2B Media Group GmbH, München. Alle Rechte vorbehalten.